21.5. 验证镜像签名
您可以启用镜像签名验证,以确保在 Compute 服务(nova)启动实例前,镜像服务(glance)镜像不包含未经授权的更改。启用这个功能后,您可以防止新实例启动,其中可能包括恶意软件或安全漏洞。
先决条件
- 已安装 Red Hat OpenStack Platform director 环境。
- 以 stack 身份登录 director。
流程
在 heat 模板中,通过将
True
的值设置为VerifyGlanceSignatures
参数来启用实例签名验证:parameter_defaults: VerifyGlanceSignatures: True
-
确保用于修改
VerifyGlanceSignatures
参数的模板包含在openstack overcloud deploy
脚本中,然后重新运行部署脚本。
注意
如果您使用没有签名的镜像创建实例,则镜像会失败,且实例不会启动。有关签名镜像的更多信息,请参阅签名镜像。